誰にでもわかるSSL証明書

セキュリティーのしっかりしているサイトにはSSL証明書が必須と言われていますが、そもそも「SSL？」「証明書？」と頭にハテナが浮かぶ人も多いはず。

本日は誰にでもわかるSSL証明書について説明し、安心なサイトの見分け方を教えます。

＜そもそもSSLってなに？＞

SSLとは「Secure Sockets Layer」の略称で、通信方法の一つです。
インターネット上でデータを暗号化して送受信します。

通信するデータを暗号化することでセキュリティーが高まる為、ネットショッピングや個人情報を入力するサイトの通信にSSLは必須です。
SSLが導入されていないサイトにアクセスすると、通信が暗号化されていないので、ハッカーなどにより個人情報やクレジットカードのデータを盗み見される危険性があります。

＜SSL証明書とは?＞

SSLで通信するときに使用する電子の証明書です。
デバイス（PC,携帯電話など）からサイトへSSLで通信したときに、暗号化の鍵となります。

＜SSL証明書の種類（有料）＞

SSL証明書には有料と無料があり、有料の証明書はさらに3種類に分かれています。
有料の証明書では、全てドメインの所有名義を認証します。しかし、その他の項目で何を保証するかにより、証明書の種類が異なります。

1. EV認証
   企業が実在しているか、会社の代表者や担当者も存在しているか認証。アドレスバーに組織名表示される。フィッシング対策に効果的
2. 企業認証
   企業が実在しているか認証。
3. ドメイン認証
   ドメインのみの認証。個人による取得が可能。

信頼性的には①⇒③の順になり、それぞれ金額も異なりますので、どんな情報を取り扱うかにより証明書を選択しましょう。
（例えば、個人情報・決済情報を取り扱う場合はEV認証が安心です。
また、通信先がわかっていて情報を暗号化するだけでいいのであれば、ドメイン認証を利用することもあるでしょう。）

＜無料のSSL証明書＞

現在、SSLの普及を目的に無料の証明書もサービス提供されています。
「Let's Encypt」はその例で、独自のドメインがあれば誰にでもSSL証明書が作成できます。
しかし、ドメイン認証しか対応していません。

＜オレオレ証明書には気を付けて！＞

SSL証明書は自分で作成することもできます。
自己署名証明書（通称オレオレ証明書）と言われ、暗号化も可能です。
ただ、ここで気をつけたいことは、自作可能＝第三者の証明なしという状態の為、信頼性は非常に低いです。
せっかく暗号化をしても通信相手が正しいか確認が取れないので、悪意ある人物が偽造することも可能です。
その為、通信先で情報を抜き取られる危険性を秘めています。
セキュリティー面で考えると、オレオレ証明書を利用するのはやめましょう。

＜安心なサイト（SSL証明書あり）の見分け方＞

いざサイトを見ようとしたときに、どこでSSL証明書を見分ければいいのでしょうか。
方法は2つあります。

1. サイトシール
   主にサイトのトップページに「サイトシール」という表示があります。
   そのサイトシールをクリックすると、証明者情報（サイトの運営者、認証内容など）が確認できます。
   
2. 鍵マーク
   ブラウザの鍵マークでもSSL証明書は確認できます。
   鍵マークをクリックすると、サイトの運営者情報の他、証明書に含まれる情報などが確認できます。
   EV証明書だと、さらに緑色で表示されます。
   ※「Mamoru」https://mamoru-secure.com/　はもちろんEV証明書を取得しています！
   
   • IE
     
   • Chrome
     
   • Firefox
     

この①②の方法で確認すれば、通信時に暗号化を利用したSSL通信がされていることがわかります。
安全なサイトを見分ける、一つの判断材料になりますね。